惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Hacker News: Ask HN
Hacker News: Ask HN
C
Cisco Blogs
The Hacker News
The Hacker News
T
Tor Project blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
The GitHub Blog
The GitHub Blog
A
Arctic Wolf
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
The Register - Security
The Register - Security
云风的 BLOG
云风的 BLOG
Simon Willison's Weblog
Simon Willison's Weblog
P
Palo Alto Networks Blog
Vercel News
Vercel News
C
CERT Recently Published Vulnerability Notes
I
InfoQ
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
M
MIT News - Artificial intelligence
I
Intezer
aimingoo的专栏
aimingoo的专栏
U
Unit 42
C
Cyber Attacks, Cyber Crime and Cyber Security
L
LINUX DO - 热门话题
Microsoft Security Blog
Microsoft Security Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
Cyberwarzone
Cyberwarzone
P
Proofpoint News Feed
P
Proofpoint News Feed
B
Blog
T
Threat Research - Cisco Blogs
博客园 - 叶小钗
Recorded Future
Recorded Future
Last Week in AI
Last Week in AI
N
News and Events Feed by Topic
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Know Your Adversary
Know Your Adversary
Engineering at Meta
Engineering at Meta
G
Google Developers Blog
PCI Perspectives
PCI Perspectives
Google DeepMind News
Google DeepMind News
WordPress大学
WordPress大学
Application and Cybersecurity Blog
Application and Cybersecurity Blog
MyScale Blog
MyScale Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
Schneier on Security
Schneier on Security
N
News | PayPal Newsroom
C
Cybersecurity and Infrastructure Security Agency CISA
H
Help Net Security
博客园 - 聂微东
H
Hackread – Cybersecurity News, Data Breaches, AI and More
G
GRAHAM CLULEY

RSS - Actualités CNIL

Revoir le webinaire : Nouveau téléservice santé et recherche, ce qui change pour vos demandes d’autorisation Travail, ressources humaines : le contrôle de l’activité des personnes employées Le CEPD met en lumière l’anonymisation et le moissonnage pour l’IA générative et adopte la version finale des lignes directrices sur la chaîne de blocs Géolocalisation et applications mobiles : quelles règles pour protéger les données des utilisateurs ? Géolocalisation et applications mobiles : comment protéger vos données ? La CNIL a prononcé 23 nouvelles sanctions depuis janvier au titre de la procédure simplifiée Le métier de DPO à l’heure de l’intelligence artificielle : publication des résultats de l’enquête Jeux d’argent et de hasard : appliquer le RGPD aux traitements de données des joueurs Ordre du jour de la séance plénière du 2 juillet 2026 Véhicules connectés : dans quelles conditions vos données de localisation peuvent être utilisées ? Véhicules connectés : la CNIL publie sa recommandation sur l’utilisation des données de localisation Technologies émergentes et protection des mineurs : les autorités de protection des données du G7 s’accordent sur des principes clés Victimes de violations de données : restez vigilants face aux offres d’accompagnement Quatre auteurs reçoivent le deuxième prix CNIL/EHESS pour leur recherche sur la réception du règlement IA par les citoyens européens Informations publiques Remise du prix « Protection de la vie privée » 2026 par la CNIL et l’Inria Élections professionnelles dans la fonction publique et vote électronique : comment transmettre les rapports d’expertise à la CNIL ? Sécurité des données : les règles essentielles pour protéger les données et votre activité Ordre du jour de la séance plénière du 18 juin 2026 Nomination de Jean-Michel FIETIER au poste de directeur administratif et financier de la CNIL Revoir le webinaire - Pixels de suivi dans les courriels : présentation des recommandations de la CNIL Le CEPD rencontre le commissaire européen McGrath et adopte un modèle commun de notification des violations de données Communications par voie électronique aux prospects et clients : quelles règles respecter ? Ordre du jour de la séance plénière du 4 juin 2026 Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA Ordre du jour de la séance plénière du 28 mai 2026 « IA générative et vie privée » : une affiche coproduite par la PIPC et la CNIL pour sensibiliser les utilisateurs d’IA à la protection de leurs données Cyberattaque : le sous-traitant au centre de la crise Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003 Ordre du jour de la séance plénière du 21 mai 2026 Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025 Confidentialité de l’euro numérique : où en sommes-nous ? Les lunettes connectées : la CNIL appelle à la vigilance Demandes de crédit : comprendre l’utilisation de vos données et vos droits Octroi de crédit : la CNIL publie sa recommandation sur l’utilisation de données personnelles pour l’évaluation de la solvabilité Privacy Research Day : participez à la journée dédiée à la recherche sur la vie privée Les membres et les résultats Médiathèque G7 2026 : la CNIL accueille à Paris la Table ronde des autorités de protection des données et de la vie privée Vue d’ensemble Ordre du jour de la séance plénière du 5 mai 2026 IA conversationnelle et santé mentale des jeunes : résultats de l’enquête européenne Revoir le webinaire - Usages numériques des enfants : comment sensibiliser les parents-salariés ? Commerce de détail : la CNIL approuve le code de conduite porté par l’Alliance du Commerce Le rapport d’activité du DPO : piloter la conformité et valoriser ses actions Vote par correspondance électronique : la CNIL met à jour sa recommandation Lignes directrices pour la recherche scientifique et certification : les derniers documents adoptés par le CEPD Revoir le webinaire - Élections municipales 2026 : quelles sont les nouvelles règles de ciblage électoral ? AIPD : le CEPD lance une consultation publique sur un modèle européen Ordre du jour de la séance plénière du 16 avril 2026 Les sanctions prononcées par la CNIL Pixels de suivi dans les courriers électroniques : vous devez être mieux informés Pixels de suivi dans les courriers électroniques : la CNIL publie ses recommandations pour mieux protéger la vie privée Municipales 2026 : le bilan de l’observatoire des élections de la CNIL Outil PIA : téléchargez et installez le logiciel de la CNIL Accompagnement des professionnels : le programme de travail de la CNIL pour 2026 Les webinaires de la CNIL Désigner un délégué à la protection des données (DPO) ou modifier une désignation Les contrôles en 2026 : recrutement, répertoire électoral unique et fédérations sportives Ordre du jour de la séance plénière du 2 avril 2026 Gestion des ressources humaines : la CNIL publie un référentiel de durées de conservation Revoir le webinaire - Développement d’un système IA, webscraping : comment mobiliser la base légale de l’intérêt légitime ? Données post mortem : publication du cahier air2025 sur l’éthique des traces numériques
Quelles qualifications pour les acteurs de l’informatique en nuage (cloud) ?
CNIL · 2026-05-28 · via RSS - Actualités CNIL

Avant de traiter des données personnelles, il est essentiel que les acteurs identifient leurs rôles. La CNIL fournit des orientations pour aider ceux du secteur de l’informatique en nuage (cloud) à identifier leurs responsabilités avec des exemples concrets.

Les difficultés liées à la qualification dans le secteur de l’informatique en nuage

La qualification des acteurs au sens du RGPD (responsable du traitement, responsable conjoint ou sous-traitant) a un impact important sur la répartition des responsabilités de chacun, notamment en termes de contractualisation, de sécurité des données et d’exercice des droits par les personnes concernées.

Dans l’écosystème de l’informatique en nuage (cloud), qualifier les parties peut être complexe :

  • Il existe plusieurs types d’offres (infrastructure (IaaS), plateforme (PaaS) et logiciel (SaaS)) avec une répartition des responsabilités qui peut varier selon le niveau de contrôle du fournisseur et les possibilités de paramétrage du client.
  • De nombreux acteurs de tailles différentes proposent plusieurs services distincts, pour lesquels la répartition des responsabilités peut évoluer avec l’avancement d’un projet donné ou des changements de besoins du client.

Pour aider les acteurs à mieux comprendre leur rôle et leurs obligations, la CNIL propose des grandes orientations – sur la base des critères dégagés par le Comité européen de la protection des données (CEPD) – couvrant trois finalités :

  • la fourniture du service ;
  • l’amélioration du service ;
  • la sécurité « du » nuage et « dans » le nuage.

Cette grille de lecture peut toutefois être adaptée pour bien refléter la réalité de la relation entre le fournisseur et le client. En cas de doute, il est important de documenter la réflexion qui a été menée pour aboutir à cette qualification et d’être en mesure de la justifier.

La fourniture du service

Il s’agit des traitements de données personnelles nécessaires à la mise à disposition du service d’informatique en nuage, par le prestataire, pour le compte de son client.

Le client, responsable du traitement

En principe, le client est responsable des traitements qu’il met en œuvre sur le service d’informatique en nuage. En effet, il détermine :

  • les finalités (ou objectifs) des traitements de données réalisés via le service (par exemple, gestion de la relation client via un logiciel de gestion de la relation client (CRM) ; exemple détaillé plus bas) ;
  • les moyens essentiels du traitement dans la mesure où :
    • il dispose de la liberté du choix de son prestataire, après avoir pris connaissance de son offre de service ;
    • il conserve une marge de manœuvre dans l’utilisation et le paramétrage du service fourni par le prestataire (choix des données traitées, effacement des données, sauvegardes locales, etc.).

Le rôle du fournisseur : un , en principe

Le fournisseur intervient alors généralement comme sous-traitant puisqu’il va généralement traiter les données (stockage, etc.) sur les instructions de son client dans le cadre de la fourniture de son service.

À noter : le fait que le fournisseur décide de la plupart des moyens essentiels du traitement ne suffit pas à le qualifier de responsable du traitement.

Exemple : La gestion d’un logiciel de relation client (Customer Relationship Management - CRM)

Une entreprise utilise un logiciel CRM basé sur l’informatique en nuage pour centraliser et gérer ses interactions avec ses clients (prospection, relance, envoi de courriels). Le fournisseur de CRM stocke les données sur ses serveurs et en assure la maintenance.

Le client (entreprise utilisatrice) est responsable du traitement, car il détermine pourquoi et comment les données de ses propres clients sont utilisées (suivi commercial). Le fournisseur de CRM est sous-traitant, car il exécute uniquement les instructions nécessaires au fonctionnement du CRM, selon les instructions du client.

Dans certaines situations, le fournisseur pourra être regardé comme co-responsable du traitement et non simple sous-traitant : c’est notamment le cas lorsque certaines opérations de traitement servent à la fois les finalités du client et celles du fournisseur, même si les traitements mis en œuvre par la suite peuvent relever de la responsabilité propre de chaque partie.

Exemple : Traceurs et responsabilité conjointe entre client et fournisseur

Un fournisseur d’une plateforme dépose des traceurs qui collectent de données de navigation à la fois pour mesurer l’audience du site web du client et pour améliorer son propre service.

Dans ce cas, l’opération (l’utilisation de traceurs) peut relever d’une responsabilité conjointe dès lors que le client et le fournisseur contribuent ensemble à la définition des finalités et des moyens mis en œuvre pour parvenir à ces finalités. En revanche, chacun reste responsable des traitements qu’il réalise ensuite à partir de ces données pour ses propres finalités.

L’amélioration du service

L’amélioration du service proposé est une finalité (ou objectif) fréquente pour les fournisseurs d’informatique en nuage. Un prestataire peut traiter les données de ses clients pour identifier les difficultés techniques qu’ils rencontrent et optimiser le fonctionnement de son service.

La qualification des acteurs dépend d’une analyse au cas par cas. Trois cas de figure peuvent être distingués.

Cas n°1 : le fournisseur est responsable du traitement

Cas n°2 : le client est responsable du traitement et le fournisseur
sous-traitant

Cas n°3 : le client et le fournisseur sont responsables conjoints
du traitement

La sécurité du service et des traitements de données personnelles

Faire la distinction entre la sécurité « du » nuage et la sécurité « dans » le nuage

Sécurité « du » nuage et sécurité « dans » le nuage

Dans cet écosystème, il est en général possible de distinguer deux types de mesures :

  • La sécurité « du » nuage : elle regroupe les mesures mises en œuvre par le fournisseur pour protéger son service (composants physiques, serveurs, réseaux, systèmes d’exploitation, ou applications). Cela inclut, par exemple, le contrôle d’accès aux salles serveurs, la maintenance des centres de données, les correctifs de sécurité ou encore la configuration de filtrage réseau. En principe, ces mesures ne sont pas spécifiques à un client et les clients n’interviennent pas directement dans leur mise en œuvre ni leur administration.

Exemple – La sécurisation d’une infrastructure face aux attaques réseau

Un fournisseur IaaS déploie des systèmes de détection d’anomalies sur ses réseaux internes afin de limiter la propagation d’une attaque à l’ensemble de son infrastructure, en s’appuyant notamment sur le mécanisme d’isolation logique des environnements clients.

  • La sécurité « dans » le nuage : elle correspond aux mesures mises en œuvre par le client pour sécuriser les données hébergées sur le service, parfois via des outils fournis par le prestataire ou un fournisseur tiers. Il peut s’agir notamment du chiffrement des données en base ou de la gestion des accès et des identités. Ces mesures sont donc susceptibles d’être mises en œuvre de manière différente par les différents clients d’un même fournisseur.
 

Exemple : Le contrôle des accès et chiffrement des données dans un SaaS

Une entreprise utilisant un logiciel de type SaaS de gestion des ressources humaines limite l’accès aux données traitées selon les profils habilités et chiffre les données avec une gestion interne des clés assurant son contrôle exclusif.

Des responsabilités partagées en matière de sécurité qui s’articulent entre elles

La sécurité « du » nuage et la sécurité « dans » sont étroitement liées. Elles sont toutes deux nécessaires pour assurer la sécurité des traitements de données personnelles :

Une faille dans la sécurité « du » nuage peut compromettre la sécurité « dans » le nuage, malgré les mesures prises par les clients.

Exemple : Une vulnérabilité serveur rend inefficace la sécurité des données clients

Un fournisseur d’une solution SaaS n’a pas corrigé une vulnérabilité critique sur ses serveurs et permet à un attaquant d’accéder aux bases de données hébergées, rendant inopérants les dispositifs de sécurité mis en place par une entreprise utilisatrice (authentification double-facteur, un contrôle d’accès robuste).

À l’inverse, un défaut de sécurité « dans » le nuage côté client peut fragiliser l’ensemble du système en augmentant la surface d’attaque.

 

Exemple : Une mauvaise configuration par un client fragilise une plateforme

Une grande entreprise héberge un portail de formation sur une infrastructure PaaS mutualisée où chaque salarié peut suivre son parcours de compétences. Par erreur, elle laisse une interface d’administration accessible depuis Internet, sans restriction d’adresse IP.

Un attaquant qui compromet ce compte peut lancer des attaques par déni de service distribué (Distributed Denial of Service attack ou DDoS en anglais) ou déployer des programmes malveillants, affectant la sécurité globale de la plateforme ou la disponibilité des ressources partagées avec les autres clients du PaaS.

Les qualifications des acteurs pour la sécurité « du » nuage

Cas n°1 : les données personnelles des employés du fournisseur

Cas n°2 : les données personnelles des clients qui utilisent le service

Les qualifications des acteurs pour la sécurité « dans » le nuage

Dans la plupart des cas, le client est responsable du traitement réalisé dans le nuage. Les mesures de sécurité peuvent être intégrées au traitement principal. Elles peuvent alternativement constituer un traitement distinct, avec pour finalité d’assurer la protection du système d’information ou des applications qu’il héberge dans le nuage. Dans ce cadre, le fournisseur intervient comme sous-traitant et assiste le client pour mettre en œuvre les mesures de sécurité appropriées.

Exemple : Le client est responsable du traitement et des mesures de sécurité mises en œuvre

Une entreprise de commerce en ligne héberge sa base clients sur une plateforme SaaS.

Le fournisseur met à disposition des outils et de fonctionnalités de sécurité (chiffrement des données au repos et en transit, gestion des identités et des accès, journalisation des événements, dispositifs de sauvegarde, etc.).

L’entreprise active certaines de ces fonctionnalités et en définit les paramètres : elle active le chiffrement des données au repos et en transit, elle configure les accès et les profils d’habilitation, organise la journalisation et les sauvegardes. Ces mesures impliquent des traitements de données personnelles des utilisateurs finaux (identifiants, journaux, adresses IP, traces d’accès, etc.) pour assurer la sécurité « dans » le nuage.

Dans ce cas, l’entreprise est responsable de ces traitements car elle en détermine les finalités et les moyens. Le fournisseur agit comme sous-traitant en mettant en œuvre ces mesures pour le compte et selon les instructions de l’entreprise.